Доброго времени суток, дамы и господа. Спешу поделиться с вами интересным инструментом, который попался мне на глаза не так давно. Речь пойдет об Arachni.
Arachni - Open Source проект, который позиционируется на рынке, как security scanner.
Использовать данный инструмент достаточно просто, потому как он автоматический. Далее я расскажу как.
Какчаем архив с официального сайта, где необходимо будет выбрать операционную систему. Данный инструмент имеется только для Mac OS X и Linux. Для Винды нет - видимо это и не нужно...
Распаковываем архив и мы имеем следующее содержимое.
По сути содержимое архива можно разбить на две части. Первая - это консольная часть приложения, вторая - его вебовский интерфейс.
Для запуска консольной версии достаточно открыть Terminal перейти в папку с проектом и запустить командой
$arachni http://test.com
где test.com - имя вашего подопытного.
Начнется процесс сканирования с выводом информации на экран.
Также существует множество параметров для запуска, которые можно просмотреть на сайте производителя.
Намного интересней, как по мне, выглядит его вебовская часть. В папочке /system/arachni-ui-web находится Ruby on Rails проект, который и отвечает за веб интерфейс приложения. Переходим в папочку, ставим гемы (bundle install. Также вам будет необходим предустановленный Postgres), создаем базу, запускаем миграции, сидируем базу - в общем проводим все базовые операции по запуску рельсового проекта. После проведенных операций запускаем сервер и переходим на наш локалхост.
Перед нами открывается вот такой не сложный экран.
Перейдя на Scans --> New вы попадете на страницу для запуска новго сканирования. Вбиваете в поле Target URL имя подопытного, выбираете Profile и поехали...
Процесс не быстрый. На странице будет отображаться процесс сканирования - количество пакетов отправленных на сервер, полученных от него, количество проверенных страниц и многое другое...
В итоге вы получите такой себе репорт, с разбивкой по важности, "провалов" и других узких мест вашего приложения.
Также сканирование можно запланировать - имеется такой себе шедулер.
Полезным делом будет настроить на вашем сервере email notification для всяких там эксепшенов, которые будут сыпаться в ходе работы сканера. После сканирования можно просмотреть логи и понять... Понять и простить, такие ужасные дыры в приложении... )) Но лучше исправить их.
Также имеется возможность создавать свои профайлы с вариантами сканирования.
Надо бы подробнее разобраться в этом инструменте, думаю он не раз прийдет ко мне на помощь.
Советы, замечания, пожелания - в студию.
Использовать данный инструмент достаточно просто, потому как он автоматический. Далее я расскажу как.
Какчаем архив с официального сайта, где необходимо будет выбрать операционную систему. Данный инструмент имеется только для Mac OS X и Linux. Для Винды нет - видимо это и не нужно...
Распаковываем архив и мы имеем следующее содержимое.
Для запуска консольной версии достаточно открыть Terminal перейти в папку с проектом и запустить командой
$arachni http://test.com
где test.com - имя вашего подопытного.
Начнется процесс сканирования с выводом информации на экран.
Также существует множество параметров для запуска, которые можно просмотреть на сайте производителя.
Намного интересней, как по мне, выглядит его вебовская часть. В папочке /system/arachni-ui-web находится Ruby on Rails проект, который и отвечает за веб интерфейс приложения. Переходим в папочку, ставим гемы (bundle install. Также вам будет необходим предустановленный Postgres), создаем базу, запускаем миграции, сидируем базу - в общем проводим все базовые операции по запуску рельсового проекта. После проведенных операций запускаем сервер и переходим на наш локалхост.
Перед нами открывается вот такой не сложный экран.
Перейдя на Scans --> New вы попадете на страницу для запуска новго сканирования. Вбиваете в поле Target URL имя подопытного, выбираете Profile и поехали...
Процесс не быстрый. На странице будет отображаться процесс сканирования - количество пакетов отправленных на сервер, полученных от него, количество проверенных страниц и многое другое...
В итоге вы получите такой себе репорт, с разбивкой по важности, "провалов" и других узких мест вашего приложения.
Также сканирование можно запланировать - имеется такой себе шедулер.
Полезным делом будет настроить на вашем сервере email notification для всяких там эксепшенов, которые будут сыпаться в ходе работы сканера. После сканирования можно просмотреть логи и понять... Понять и простить, такие ужасные дыры в приложении... )) Но лучше исправить их.
Также имеется возможность создавать свои профайлы с вариантами сканирования.
Надо бы подробнее разобраться в этом инструменте, думаю он не раз прийдет ко мне на помощь.
Советы, замечания, пожелания - в студию.
Комментариев нет:
Отправить комментарий